作者丨賴文昕

編輯丨陳彩嫻

應用安全危機四伏

2024年的網(wǎng)絡安全形勢依舊嚴峻。

2月，澳大利亞電信公司 Tangerine 遭遇網(wǎng)絡攻擊，導致23萬人的個人信息泄露；3月，人工智能圖像編輯工具 Cutout.Pro 有約 2000 萬會員用戶的電子郵件地址、IP 地址及姓名等敏感信息被放在數(shù)據(jù)泄露論壇上出售；4月，網(wǎng)絡安全公司 Sekoia 發(fā)現(xiàn)蠕蟲病毒 PlugX 的新變種已經(jīng)在全球范圍感染了超過250萬臺主機，傳播到全球170個國家；緊接著，由 Elon Musk 創(chuàng)立的航空航天制造商和太空運輸服務公司 SpaceX 也遭遇了網(wǎng)絡攻擊，泄露了近150 GB 數(shù)據(jù)以及三千份圖紙。

短短不到半年，海外就發(fā)生了多起網(wǎng)絡攻擊與數(shù)據(jù)泄露事件。無獨有偶，國內的網(wǎng)絡安全事件也頻頻發(fā)生。

比如，廣州20萬網(wǎng)約車司機的個人信息被公開售賣，暴露了移動出行平臺在用戶數(shù)據(jù)安全上的重大漏洞；山東省互聯(lián)網(wǎng)網(wǎng)絡安全狀況整體評價雖為“良”，但木馬和僵尸網(wǎng)絡活動增加，表明網(wǎng)絡犯罪分子正不斷尋找新的攻擊手段。

而根據(jù)國際數(shù)據(jù)公司（IDC）的預測，到2025年，全球將開發(fā)并部署大約7.5億個基于云原生技術的應用程序，到2027年，全球每年新生成的數(shù)據(jù)量預計將達到驚人的291 ZB，幾乎是2022年數(shù)據(jù)量的三倍。

不難發(fā)現(xiàn)，在 AI 浪潮轟轟烈烈的席卷下，應用程序的增長速度正呈指數(shù)級上升，數(shù)據(jù)量的增長也呈現(xiàn)出爆炸性的趨勢，針對應用程序的攻擊越來越多，攻擊手段也越來越復雜。

毋庸置疑，應用安全已經(jīng)成為網(wǎng)絡安全的首要任務。而這其實是一系列的連鎖反應：

企業(yè)將越來越多的業(yè)務流程和客戶服務轉移到線上，意味著不得不開發(fā)和部署更多的應用程序來滿足這些日益增長的需求。

應用程序數(shù)量的增加，意味著它們所處理的重要數(shù)據(jù)量也在增加，這吸引了更多的攻擊者不斷演進其攻擊手段，利用應用程序中的漏洞發(fā)起攻擊，導致數(shù)據(jù)泄露事件頻繁發(fā)生。

伴隨而來的還有普及率持續(xù)攀升的云服務。企業(yè)愈發(fā)依賴基礎設施即服務（IaaS）和其他云服務，以支持其應用程序的運行。云環(huán)境下邊界的概念模糊，更多架設在邊界的傳統(tǒng)安全自然無法發(fā)揮作用。

同時，微服務架構也成為新的焦點。為了提升靈活性和可擴展性，企業(yè)紛紛轉向微服務架構，使得應用程序由多個小型、獨立的服務構成，而非傳統(tǒng)的單一應用。這也增加了應用程序的復雜性，帶來了新的安全挑戰(zhàn)。

此外，開源代碼和第三方庫的廣泛使用，雖然為開發(fā)帶來了便利，但也引入了潛在的安全風險。這些組件可能包含未被發(fā)現(xiàn)的安全漏洞，一旦被攻擊者利用，就會對整個應用程序的安全構成威脅。

企業(yè)對業(yè)務連續(xù)性和服務可用性的要求不斷提高，任何應用安全事件導致的服務中斷都可能給企業(yè)帶來巨大的經(jīng)濟損失。因此，如何確保應用程序的安全，成為了企業(yè)亟待解決的難題。

具體而言，攻擊者針對應用程序的攻擊手段日益多樣化，包括惡意軟件、0day/Nday 漏洞以及 OWASP 十大漏洞。而且，基于憑證的攻擊和針對 API 的攻擊也變得日益頻繁。在 API 安全方面，注入攻擊與配置錯誤導致的攻擊也越來越常見。

總之，隨著應用程序數(shù)量和復雜性的顯著增長，企業(yè)必須采取全面和前瞻性的安全措施，以確保其應用程序和 API 的安全，同時支持業(yè)務的持續(xù)增長和創(chuàng)新。

RASP 技術：應用安全的終極防線

那么，究竟什么措施才能有效防護應用安全呢？

目前，市場上涌現(xiàn)了眾多安全工具，各自在應用程序的不同生命周期階段發(fā)揮著關鍵作用。這些工具包括了靜態(tài)應用程序安全測試（SAST）、動態(tài)應用程序安全測試（DAST）、交互式應用程序安全測試（IAST）、運行時應用程序自我保護（RASP）和 Web 應用防火墻（WAF）等等。

在軟件開發(fā)的早期階段，靜態(tài)代碼分析（SAST）通過深入檢查源代碼，幫助開發(fā)者發(fā)現(xiàn)并修復潛在的安全漏洞和編程錯誤。這種方法能夠在不運行應用程序的情況下快速識別問題，從而降低后期修復的成本和復雜性。

隨著應用程序進入預生產(chǎn)階段，交互式應用程序安全測試（IAST）開始發(fā)揮作用，它結合了 SAST 的深度代碼分析和 DAST 的行為分析，通過監(jiān)控用戶與應用程序的交互，提供更準確的漏洞檢測。

當應用程序部署到生產(chǎn)環(huán)境后，動態(tài)應用程序安全測試（DAST）便成為關鍵的安全措施。DAST 通過模擬黑客攻擊，對運行中的應用程序進行實時的安全檢測，識別出可能的安全漏洞，為企業(yè)提供即時的安全反饋。

而運行時應用程序自我保護（RASP）技術則為應用程序提供了一種更為全面的保護機制。

與傳統(tǒng)的 WAF 解決方案相比，RASP 在多個方面展現(xiàn)出其優(yōu)勢。

RASP 技術確保了高度的準確性和可靠性，通過精確監(jiān)控數(shù)據(jù)流和邏輯，僅在惡意輸入到達關鍵庫函數(shù)時觸發(fā)警報；它在高負載環(huán)境下穩(wěn)定運行，持續(xù)檢測代碼安全；能向開發(fā)人員提供清晰的漏洞修復指導；適應多種網(wǎng)絡協(xié)議，無需了解協(xié)議細節(jié)即可保護應用程序；能夠自動適應應用變化，通過學習獲得應用上下文，實現(xiàn)智能安全防護。

WAF 解決方案則因獨立于應用架構，無法深入代碼層面識別安全威脅，主要依賴已知威脅簽名方法檢測，面對未知威脅時效果有限。同時，WAF 在 API 支持上也存在局限，需要安全團隊大量手動管理和調整，增加了成本并可能引入安全風險。

相比之下，RASP 技術通過插樁直接集成到應用內部，實現(xiàn)實時代碼保護。這種深入到應用內部的監(jiān)控方式，能夠有效地識別和防御各種威脅，在應用運行時提供精確的事件監(jiān)控和分析，不依賴可能出錯的模型預測。

因為能夠區(qū)分真正的攻擊行為和無害的安全探測，RASP 避免了邊界解決方案常見的誤報和漏報問題，而且還能夠對那些傳統(tǒng)邊界安全措施可能忽視的未知威脅和 0day 漏洞攻擊提供保護。這種實時的安全檢查和響應能力，使得RASP 成為了一種強大的安全工具。

然而，RASP 技術相對較新，成熟度和市場認知度與 WAF 相比仍有一定差距。更重要的是，由于 RASP 需要嵌入到應用程序內部，部署和維護難度更大，用戶在選擇時便會權衡 RASP 技術能帶來多大價值，以及為了使用 RASP 技術需要付出多大的代價。

“以前 RASP 的市場需求并沒有得到充分釋放。它的推廣需要解決價值與成本之間的平衡問題，以便用戶能夠看到其潛在價值并愿意接受相對較高的部署成本?！鼻嗵僭瓢踩?lián)合創(chuàng)始人兼產(chǎn)品副總裁胡俊告訴雷峰網(wǎng)。

因此，如何在 RASP 方案中消除用戶的疑慮，就成為了不少安全公司正在摸索的方向。

青藤天睿?RASP：為應用植入原生安全能力

RASP，即"Runtime Application Self-Protection"（運行時應用程序自我保護），在2014年被 Gartner 公司的應用安全報告確定為該領域的一個重要發(fā)展趨勢。

但由于技術發(fā)展的限制與對其入侵性的擔憂，RASP 自誕生以來并未在網(wǎng)絡安全領域得到廣泛應用。青藤云安全則是少數(shù)覺察到 RASP 技術在應用安全的重要性并采取行動的布局者之一。

青藤最新的天睿?RASP應用安全防護方案具有6大核心功能。

首先，因為攻擊行為無法繞過應用程序的底層調用，青藤天睿?RASP 能通過無規(guī)則的邏輯檢測，有效防御 0day 攻擊和其他已知攻擊。

第二，對于內存馬攻擊，青藤天睿?RASP 能夠深入應用內部，通過三層防護措施全面攔截攻擊，處理好無論是企圖注入還是已經(jīng)注入的情形。

第三，青藤天睿?RASP 提供應用熱補丁功能，能夠在不重啟應用的情況下，對運行中的應用程序進行補丁修復，及時響應新爆發(fā)的漏洞。

第四，它還具備弱密碼檢測能力，通過監(jiān)控登錄行為來識別弱密碼，支持應用和中間件的檢測，并根據(jù)企業(yè)需求設置規(guī)則。

第五，它能獲取完整的應用調用鏈路信息，幫助定位代碼，展示微服務的拓撲結構，發(fā)現(xiàn)服務調用風險，以及監(jiān)測不同應用間的訪問關系。

最后，它還能實時監(jiān)控和發(fā)現(xiàn)組件庫的調用情況，分析版本信息，提供組件庫的安全治理，避免供應鏈攻擊。

以上六大核心功能使得青藤天睿?RASP 的防護效果十分顯著。由于運行在應用程序內部，監(jiān)控接口調用，因此它相比邊界攔截有更高的成功率。它對業(yè)務的影響很小，Agent 可以動態(tài)安裝和卸載，無需業(yè)務重啟，不影響其他服務進程，并且與業(yè)務代碼不沖突。其 RASP 技術還適配所有 Java 版本，與其他 Java Agent 兼容性良好，不干擾系統(tǒng)現(xiàn)有功能。模塊化的設計也使得各個插件獨立運作，易于擴展，并具備動態(tài)開關機制，確保資源占用最小化。

“RASP 能為應用植入原生安全能力，”胡俊認為，“我們得在確保風險是可管理的同時，讓大家了解 RASP 技術的價值遠不止目前所展現(xiàn)的這些，愿意相信并嘗試它?！?/p>

那么，青藤天睿?RASP 具體能應用在什么場景之中呢？

作為應用層安全的關鍵組件，RASP 技術與 HIDS、WAF 等安全工具相結合，構建了一個多層次、縱深的防御體系，在多種安全場景中發(fā)揮著重要作用，特別是在攻防演練、應用風險監(jiān)測、惡意攻擊防護和漏洞在線修復等方面。

在攻防演練中，青藤天睿?RASP 能夠深入應用程序內部，提供對東西向流量和內部調用的可視化，有效攔截 0day 和內存馬等攻擊，解決了傳統(tǒng)安全工具在檢測容器微服務流量和加密流量方面的不足。

應用風險監(jiān)測方面，青藤天睿?RASP 通過實時監(jiān)控應用程序運行過程，能夠準確識別應用中間件的漏洞，并發(fā)現(xiàn)應用弱密碼等顯著風險問題。它為用戶繪制了一份詳盡的風險畫像，指導用戶確認風險問題并推進修復。

在惡意攻擊防護方面，青藤天睿?RASP 基于無規(guī)則的邏輯檢測，監(jiān)控應用底層調用，使得攻擊無法繞過，為安全人員提供詳盡的攻擊鏈路，便于漏洞定位和復現(xiàn)，彌補了傳統(tǒng)入侵防護方案在未知攻擊檢測上的不足。

而對于漏洞在線修復，青藤天睿?RASP 展現(xiàn)出其熱補丁能力，通過特征匹配和深入漏洞利用原理的屏蔽，有效進行漏洞應急防護，尤其對于老舊系統(tǒng)中的漏洞，即使沒有直接補丁可用，也能提供即時的安全防護，防止黑客攻擊。

此外，與其他安全產(chǎn)品相比，青藤云安全的優(yōu)勢也十分明顯。

他們的產(chǎn)品體系采用統(tǒng)一的 Agent 架構，大大簡化了部署和擴展工作。因為已經(jīng)在大量客戶中部署了 Agent，在此基礎上便輕易解決了 RASP 覆蓋的問題，也為產(chǎn)品在多種環(huán)境中的適配打下了堅實基礎。

其次，產(chǎn)品的穩(wěn)定性和適配性已得到了大規(guī)?？蛻舻尿炞C。胡俊分享道，在大規(guī)模 RASP 的應用中，他們摸索出通過動態(tài)注入和分批上線的策略，優(yōu)化了實施部署的過程。

而且，成立于2014年的青藤云安全，至今在端側安全檢測能力已有十年的積累?！笆甑募夹g積累使我們在內存攻擊、應用漏洞、虛擬補丁等方面具備了強大的安全檢測能力。這些能力也被應用到了我們的 RASP 產(chǎn)品中，使其在安全檢測方面表現(xiàn)出色?！焙「嬖V雷峰網(wǎng)(公眾號：雷峰網(wǎng))。

寫在最后

十年前，主機安全領域的發(fā)展還處于早期階段，許多組織對在服務器上部署安全代理（Agent）持有疑慮。

但隨著時間的推移、技術驗證和威脅形勢的演變，主機安全代理因其在提高威脅檢測和響應能力方面的效果，逐漸被廣泛接受并成為企業(yè)網(wǎng)絡安全的重要組成部分。

而在今天，RASP 技術的推廣同樣受到了限制。

“這是一種全行業(yè)適配的安全解決方案，適用于所有面臨應用威脅的場景，是對安全點位的重要補充。但它本身具有一定的侵入性，對用戶技術要求較高，也需要用戶在安全建設上有一定的基礎?！焙「嬖V雷峰網(wǎng)，“企業(yè)不僅要有能力駕馭這項技術，還需要在觀念上接受它。這種觀念的轉變是一個過程，需要企業(yè)認識到 RASP 的價值，并對其帶來的成本有清晰的認識?！?/p>

據(jù)胡俊觀察，目前金融和運營商行業(yè)的客戶由于安全體系相對完善，技術能力強，加上有復雜的系統(tǒng)和大量的應用，更愿意嘗試 RASP 技術，“這并不是說其他行業(yè)不會采用RASP，而是頭部行業(yè)會先行一步，其他行業(yè)隨后會跟上?！?/p>

總的來說，RASP 技術的推廣不會受到特定規(guī)模和行業(yè)限制，隨著安全意識的提高和技術的發(fā)展，它有望逐漸被更多行業(yè)接受和采用。

RASP 技術會成為“守護”網(wǎng)絡安全的新一代“守護神”嗎？讓我們拭目以待。

本文作者 anna042023 將持續(xù)關注AI大模型領域的人事、企業(yè)、商業(yè)應用以及行業(yè)發(fā)展趨勢，歡迎添加交流，互通有無。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。